Ook in ons land maakt de aanval op Microsoft Exchange-servers slachtoffers. De installatie van de juiste patch volstaat niet om gecompromitteerde systemen te vrijwaren, waarschuwt het CCB.
De Chinese hackersgroepering Hafnium misbruikt vier zeroday-lekken om wereldwijd binnen te breken bij on-prem en gehoste Exchange-servers. Tienduizenden bedrijven werden al slachtoffer. Ook in ons land zijn er bedrijven getroffen. Tot nu toe kreeg het Centrum voor Cybersecurity België (CCB) melding van drie Belgische organisaties, al is de kans groot dat er meer bedrijven slachtoffer zijn. Microsoft bracht al enige tijd geleden een patch uit voor de kwetsbaarheden, maar daarmee is het gevaar niet geweken. Gezien de ernst van het lek kregen uitzonderlijk ook niet meer ondersteunde systemen een update.
In het systeem
We waarschuwden er eerder al voor dat de patches van Microsoft enkel de lekken dichten. Als de aanvallers zich al toegang hebben verschaft tot een kwetsbare mailserver, blijven ze daar ook na de updates op aanwezig. Daar waarschuwt het CCB nu ook voor in een reactie aan VRT: “Zelfs wanneer Microsoft de kwetsbaarheid herstelt, heeft de hacker genoeg tijd gehad om zelf een backdoor te plaatsen. Zo geraakt hij nog altijd in het systeem.”
Het CCB vraagt iedereen die getroffen is om dat te melden. Vanzelfsprekend is het kritisch om Exchange-servers zo snel mogelijk te updaten. Vervolgens moeten beheerders nagaan of aanvallers zich al toegang hebben verschaft. Microsoft bouwde alvast een script om je daarbij te helpen.